[发明专利]隐藏内核模块的检测清理方法和装置

说明书

本发明公开了一种隐藏内核模块的检测清理方法和装置。其中，该方法包括：定期根据第一监视函数和第二监视函数获取当前系统中内核模块信息列表中所记录的各个内核模块的状态信息；在当前系统的内核空间的第一内核信息列表中查找内核模块，并在用户空间的第二内核信息列表中查找内核模块；根据查找结果确定当前系统中处于隐藏状态的目标内核模块；清理目标内核模块。本发明解决了恶意软件以隐藏内核模块的形式驻留在系统中导致系统被侵害的技术问题。

技术领域

本发明涉及计算机领域，具体而言，涉及一种隐藏内核模块的检测清理方法和装置。

背景技术

恶意软件，例如木马、后门等，通常利用系统或者不当操作的漏洞，毫无察觉地入侵和驻留在系统中，收集系统数据，操纵系统操作，对于系统的危害很大。

而恶意软件为了获取系统权限，躲避系统检测，通常以隐藏内核模块的形式运行在系统中，并通过隐藏内核模块的形式侵害系统。由于恶意软件隐匿在操作系统内核态，一般的用户态检测方法很难检测出隐藏的内核模块，由此导致恶意软件的驻留在系统中，对系统造成侵害。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种隐藏内核模块的检测清理方法和装置，以至少解决恶意软件以隐藏内核模块的形式驻留在系统中导致系统被侵害的技术问题。

根据本发明实施例的一个方面，提供了一种隐藏内核模块的检测清理方法，包括：定期根据第一监视函数和第二监视函数获取当前系统中内核模块信息列表中所记录的各个内核模块的状态信息，其中，上述第一监视函数用于监视在上述当前系统中完成加载的内核模块，上述第二监视函数用于监视在上述当前系统中被删除的内核模块，上述内核模块信息列表用于记录上述当前系统中驻留的内核模块；在上述当前系统的内核空间的第一内核信息列表中查找上述内核模块，并在用户空间的第二内核信息列表中查找上述内核模块；根据查找结果确定上述当前系统中处于隐藏状态的目标内核模块；清理上述目标内核模块。

根据本发明实施例的另一方面，还提供了一种隐藏内核模块的检测清理装置，包括：获取模块，用于定期根据第一监视函数和第二监视函数获取当前系统中内核模块信息列表中所记录的各个内核模块的状态信息，其中，上述第一监视函数用于监视在上述当前系统中完成加载的内核模块，上述第二监视函数用于监视在上述当前系统中被删除的内核模块，上述内核模块信息列表用于记录上述当前系统中驻留的内核模块；查找模块，用于在上述当前系统的内核空间的第一内核信息列表中查找上述内核模块，并在用户空间的第二内核信息列表中查找上述内核模块；确定模块，用于根据查找结果确定上述当前系统中处于隐藏状态的目标内核模块；清理上述目标内核模块。

根据本发明实施例的又一方面，还提供了一种计算机可读的存储介质，该计算机可读的存储介质中存储有计算机程序，其中，该计算机程序被设置为运行时执行上述隐藏内核模块的检测清理方法。

根据本发明实施例的又一方面，还提供了一种电子设备，包括存储器和处理器，上述存储器中存储有计算机程序，上述处理器被设置为通过所述计算机程序执行上述的隐藏内核模块的检测清理方法。